此前蘋果向 CA / 瀏覽器論壇 (負責管理 SSL/TLS 證書的行業組織) 提議將所有證書有效期縮短至 45 天,蘋果給出的理由也非常簡單,有效期縮短後即便證書洩露也很快就會過期而不會被長時間利用。
以前 SSL/TLS 證書最長有效期可以長達 8 年,不過經過幾次調整後當前證書有效期最長為 398 天約 13 個月,也就是說無論如何開發者和企業都必須在 13 個月左右更新一次數字證書。
而蘋果提交的 SC-081v3 草案目前已經獲得行業組織的同意,簡單來說最終 SSL/TLS 證書有效期將被縮短至 47 天,整個過程將循序漸進的推廣,即逐步縮短有效期直到達成縮短至 47 天。
相關內容:你不要過來啊!蘋果提交表決提案建議將 SSL/TLS 證書有效期從 398 天縮短到 45 天
此次投票獲得行業組織的多數同意,下面是投票結果:
SSL/TLS 行業組織:贊成票 25、反對票 0、棄權票 5
證書消費者:贊成票 4、反對票 0、棄權票 0
這裡的證書消費者指的就是瀏覽器四大金剛:蘋果、谷歌、謀智基金會和微軟,也就是這些主要瀏覽器開發商一致同意縮短證書有效期,加之行業組織也同意縮短所以最終蘋果提交的提案算是通過了,雖然時間上略微有些變化。
下面是分階段時間表:
2026 年 03 月 14 日前:證書有效期最長為 398 天
2027 年 03 月 14 日前:證書有效期最長縮短至 200 天
2028 年 03 月 14 日前:證書有效期最長縮短至 100 天
2028 年 03 月 15 日後:證書有效期最長縮短至 47 天
對企業來說存在的挑戰:
儘管 SSL/TLS 證書已經有很多便捷的工具可以實現自動化續簽,但並非每個網站和企業都可以輕鬆部署自動化續簽流程,尤其是有些複雜的系統切換數字證書本身就是個麻煩的事情。
在 Reddit 論壇上有數百名系統管理員抱怨蘋果的這項提議,因為縮短證書有效期後剩餘的工作都要系統管理員承擔,尤其是如果管理多個網站那麼工作量將會顯著提升 (假如無法實現自動化續簽)。